ULTIME NEWS

Cosa dice il Garante Europeo per la Privacy sul caso Cambridge Analytica

Nel bel mezzo dello scandalo su Cambridge Analytica il Garante Europeo per la Protezione dei Dati (EDPS) Giovanni Buttarelli ha pubblicato la sua opinione sugli effetti dello sfruttamento dei dati personali degli utenti quando vengono usati per manipolare le loro scelte, in particolare quelle elettorali.

Il Garante è consapevole che l’economia dei dati, gestita da pochi attori che risiedono fuori dal territorio dell’Unione Europea, può avere delle conseguenze pericolose per la democrazia stessa, come hanno dimostrato le rivelazioni sulle elezioni negli Stati Uniti e in Francia, durante le quali agenti esterni hanno introdotto notizie false sui candidati allo scopo di destabilizzare l’ordine democratico.

A due mesi dall’applicazione del Gdpr, il regolamento generale europeo sulla protezione dei dati, questa opinione ha ancora più peso ed è forse l’analisi più lucida che potrete leggere su fake news, mercato digitale e manipolazione dell’informazione.

I dati personali e il Gdpr

Quando parliamo di dati personali, bisogna fare una distinzione per una categoria speciale di dati, i dati sensibili (art. 9 GDPR). Questi sono quei dati personali idonei a rivelare informazioni su orientamento sessuale, credo religioso, razza, stato di salute e, appunto, credo politico.

Questo comporta che le informazioni sull’orientamento politico e l’adesione a un certo partito sono meritevoli di maggior protezione.

Processare questi dati è generalmente proibito, salvo alcune eccezioni“, si legge nel parere del Garante.

Già prima del Gdpr i garanti nazionali si sono adoperati per tutelare i cittadini da un uso improprio dei loro dati, specialmente se ottenuti online. “Nel 2014 il Garante Italiano per la Privacy ha stabilito regole specifiche per l’uso di dati da parte di partiti politici sancendo il divieto di utilizzare dati pubblicati sui social network e forum per comunicazioni a carattere politico se questi dati erano stati ottenuti per altri scopi. Nel 2016 il Garante Francese (CNIL) ha aggiornato il suo regolamento per dire che la profilazione degli elettori e la loro targetizzazione sui social sarebbe stata lecita solo se basata sul loro consenso“.

Con il Gdpr, le norme sulla legittimità, la trasparenza, la limitazione dello scopo, la minimizzazione del processo dei dati, dovranno essere rispettate anche se a fornire i dati è una società che non ha la propria sede principale nell’Unione europea, ma solo sedi secondarie. E questo a prescindere dalla nazionalità delle persone profilate, che quindi potrebbero anche essere cittadini extra Ue.

I dati relativi alle preferenze politiche necessitano del consenso dell’utente e il consenso non può essere estorto in cambio della possibilità di usare il servizio. Non si può quindi chiedere il consenso ad essere micro-profilati per accedere ad un servizio. E in ogni caso il consenso deve essere ridato se cambia lo scopo per cui i dati sono stati carpiti“, continua il documento.

Questo vuol dire che se creo un gioco su Facebook e ottengo dei dati che servono per il gioco in sè, non posso usare poi quegli stessi dati per fare profilazione politica e per rivenderli ad un partito perché avrei bisogno di un nuovo consenso esplicito, essendo cambiato lo scopo. Così come non posso chiedere la rubrica telefonica, le preferenze politiche, per fornire un servizio che per funzionare ha bisogno solo di una mail e dell’età dell’utente.

Raccolta dei dati e profilazione
La collezione di dati oggi avviene attraverso diversi metodi che vanno dai like, alle condivisioni, fino ai quiz di psicologia, come nel caso Cambridge Analytica. “I risultati di questi quiz, combinati con i dettagli personali presenti sui social media, permettono di disegnare un ritratto molto preciso della personalità dell’utente”, scrive Giovanni Buttarelli.

Ad aiutare gli algoritmi nella profilazione degli utenti non si sono solo i dati carpiti dai famigerati cookie ma anche quelli ottenuti dagli oggetti connessi in rete (la cosiddetta internet of things) che popolano le nostre case e permettono di avere informazioni del nostro privato quotidiano molto più specifiche che in passato.

Una volta raccolti i dati, si procede alla profilazione per disegnare deglischemi di comportamento. “La profilazione automatica identifica degli schemi che sono invisibili all’occhio umano” e “possono predire la nostra personalità meglio di quanto sarebbero in grado amici e parenti”, dice Buttarelli. Ad esempio si usano software che riescono a capire la stanchezza e la frustrazione di una persona solo dal modo in cui batte i tasti sulla tastiera del computer.

La profilazione serve anche a identificare persone simili che potrebbero essere interessate a un prodotto o un servizio”. Se avete un profilo Facebook, sapete di cosa stiamo parlando: il classico esempio sono le pagine e i post sponsorizzati con le foto dei vostri amici che hanno fatto like. Ovviamente se piacciono ai vostri amici il vostro livello di guardia si abbassa ed è più facile pensare che piaceranno anche a voi. Questa è la base dell’algoritmo dei social network.

Se le informazioni sono molto dettagliate allora la profilazione diventamicrotargetizzazione, ovvero si può definire molto precisamente il soggetto e le sue categorie di appartenenza e i messaggi promozionali potranno essere molto meno generici.

Tutto è volto alla manipolazione
La conclusione del Garante è chiara: “anche se l’attività di microtargeting potrebbe non avere conseguenze tangibili per molti, la complessità della tecnologia, i bassi livelli di fiducia e le note intenzioni di importanti aziende tecnologiche puntano verso una cultura della manipolazione online. […] Inoltre il design di questi servizi e dei device che usiamo, è volto a generare una vera e propria dipendenza. I video che partono da soli, il newsfeed infinito, le notifiche, secondo gli stessi ex dipendenti di queste aziende, vogliono massimizzare l’attenzione delle persone attraverso il microtargeting, con le stesse tecniche usate nel mondo delle scommesse”.

Non solo, secondo il Garante la manipolazione è alla base dello stesso funzionamento degli algoritmi perché alla base, anche quando le informazioni sulle nostre preferenze servono a mostrare il contenuto “più rilevante”, dietro ogni scelta c’è sempre l’obiettivo di massimizzare il profitto per la piattaforma.

L’impatto dell’Intelligenza Artificiale
Benché la disinformazione non sia un fenomeno nuovo, a essere nuovo è il contesto in cui gli elettori vivono. Ad acuire i problemi collegati a questo fenomeno il Garante non dimentica di citare l’Intelligenza Artificiale, che renderà ancora più difficile da un lato attribuire delle responsabilità (vedi alla voce Uber e incidenti stradali) e dall’altro rendere facile il riconoscimento di una notizia falsa, se si pensa ad applicazioni come deepfakes e ai simulatori di discorsi con cui si possono facilmente, e quasi perfettamente, sostituire volti, voci e labbiali in un video, per far dire a chiunque qualsiasi cosa si voglia. Oppure, senza andare troppo lontano, si potrebbe creare una landing page per il sito di un candidato, creata su misura sulle preferenze politiche dell’elettore, che lo accolga con messaggi mirati sui suoi bisogni.

I diritti fondamentali in pericolo

Questo nuovo ambiente prettamente digitale, dominato da una manciata di attori, porta in sé sfide complesse e grandi pericoli. Innanzi tutto il Garante sottolinea il rischio di violazione di alcuni diritti fondamentali tra cui il diritto stesso a essere informati liberamente.

Se un social network diventa il nostro ambiente virtuale per eccellenza, il posto dove tendiamo a informarci, dialogare, confrontarci, costituisce un problema, e un pericolo, che molte delle informazioni che potrebbero essere rilevanti per costruire il nostro senso critico non compariranno nel nostro feed per scelta di un algoritmo di cui non conosciamo la ratio.

Ma non è tutto. Da un lato Facebook stesso ha spinto gli elettori ad andare a votare e questo può essee anche lodevole. Ma alcuni ex dipendenti hanno rivelato che in alcune campagne elettorali la visibilità dei post dei conservatori è stata limitata.

Tornando un attimo al caso Cambridge Analytica, Carol Devidsen, responsabile della campagna di Obama del 2012, ha confermato che i Democratici usarono un sistema simile (ma lecito) per targetizzare gli elettori e che quando Facebook scoprì che i dati che avevano erano più di quelli che avrebbero dovuto avere, non disse nulla perché “erano dalla loro parte”.

Peccato che non resti traccia di queste scelte che vengono alla luce solo in seguito alle rivelazioni di ex dipendenti. Come ricordato dal Garante infatti, queste piattaforme social non hanno una responsabilità editoriale e il frutto delle loro scelte lo vediamo semplicemente nei contenuti che il nostro newsfeed ci mostra.

Elezioni e trasparenza
Il Garante torna su un altro punto di cui si è discusso dopo le rivelazioni sull’intrusione di agenti russi nelle elezioni americane e su cui Facebook stessa ha deciso di intervenire per mettere una pezza. Il problema della trasparenza nel finanziamento di massicce campagne pubblicitarie sui social.

L’art. 3, Protocollo I, della Convenzione dei diritti dell’uomo, sancisce anche un diritto a delle libere elezioni, che può essere garantito solo se l’elettorato si forma su un’informazione libera. Ma avere un’informazione libera vuol dire anche sapere chi finanzia le campagne di certi candidati e con quali risultati“.

Maggior collaborazione tra le autorità
Per questo, secondo il Garante, la soluzione potrebbe essere quella di favorire una maggior collaborazione tra le diverse autorità coinvolte a vario titolo: i garanti per la privacy, i garanti per la comunicazione (in Italia l’Agcom), per la Concorrenza e il Mercato (in Italia l’Agcm), per i consumatori, le autorità di controllo sulle elezioni. “Queste autorità dovrebbero prevedere degli standard di trasparenza e intelligibilità dei contratti che chiedano alle piattaforme conto su come vengono prese le decisioni quando processano i dati degli utenti“.

Le aziende dovrebbero adottare sempre più dei codici di autoregolamentazione, così come consigliato dal Gdpr, che dimostrino la loro volontà di agire in modo più trasparente. Infine dovrebbero consentire agli utenti di esercitare i propri diritti in modo effettivo anche dopo aver dato il consenso. “La difficoltà di attribuire una responsabilità per le decisioni prese dall’algoritmo complica la capacità di comprensione dell’utente nel capire a chi rivolgersi per lamentare la violazione di un diritto”.

Conclusione
Conclude dunque il Garante: “Il problema è reale e urgente e andrà sempre peggio con l’aumento del numero di persone connesse e l’incremento d’uso dell’Intelligenza Artificiale. Queste aziende hanno giovato per anni di un sistema non regolamentato e non possiamo fare affidamento sulla buona volontà di attori che non si assumono le loro responsabilità. Dobbiamo intervenire per favorire una digitalizzazione che porti benefici per tutti“.


Fonte: wired.it

L'eCommerce di WPS Group: oltre 200 corsi di formazione in e-Learning, Videoconferenza e Aula.
Software web-based per Privacy GDPR, HACCP e organizzazione aziendale.

WIDGET-SPOTTV

WPS Group è certificata ISO 9001:2015

Quality Management System
EA 35A & 37

RICORDATI …

“Follia è fare sempre la stessa cosa aspettandosi risultati diversi”

Albert Einstein