Il GDPR non basta già più?
Il GDPR è in vigore da un solo anno, eppure per certi aspetti potrebbe essere già insufficiente. Sebbene almeno nello spirito sia un regolamento sensato, applicabile e ragionevole, recentemente ci siamo resi conto che potrebbero essere sfuggiti certi aspetti che meriterebbero attenzione.
E notate bene che abbiamo detto "nello spirito". Perché se poi guardiamo la lettera del regolamento, che per molti è l'unica cosa che conta, allora sicuramente ci sono ampi spazi di miglioramento. Ma non vogliamo parlare di questo.
Chi ha un telefonino ragionevolmente intelligente (quindi quasi tutti) ha sicuramente attivato diverse app, di varia utilità, che alla prima esecuzione chiedono il consenso ad accedere a varie funzionalità dell'aggeggio, spesso senza un comprensibile motivo. Una di queste app è quella del navigatore, che chiede di poter accedere alla posizione attuale, e questo è ragionevole. Dopo un po' vi potrà capitare che l'app vi dica qualcosa di questo tipo: "ho visto che sei stato alla pizzeria xxx. Mi dai un a tua valutazione?". Anche questo di per se va benissimo e comunque non siamo costretti a rispondere. E lo stesso potrà succedere per molti dei posti che frequentate normalmente. Fino qua, nulla di strano e nulla di nuovo, l'unica cosa degna di nota è che in pratica capire quali sono i posti dove ti fermi non è poi così semplice, ma non è nemmeno tanto difficile. Ora proviamo a pensare alla lista dei posti dove siamo stati. E pensiamo alla analoga lista dei posti visitati dal nostro compagno/compagna. È certo che saranno piuttosto simili, con molti posti comuni. È quindi ragionevole pensare che da quella lista, cercando altre liste simili, si possa stabilire chi frequentiamo. Anche se non volessimo farlo sapere…
Se poi oltre alla semplice lista dei posti aggiungessimo anche gli orari, esaminando i periodi di sovrapposizione è possibile stabilire che tipo di frequentazione è, lavorativa, familiare, scappatella, ecc…
Una ricerca condotta dall'università di Stanford e dall'università di Varsavia ha utilizzato un sistema di deep learning (o forse semplicemente della statistica classica) per correlare l'aspetto esteriore della casa di una persona (come la si vede in Google Street View) con la probabilità che questa persona abbia un incidente automobilistico e chieda un indennizzo. Partendo da 20.000 indirizzi di clienti di una assicurazione sono riusciti ad aumentare di due punti percentuali la qualità del modello predittivo utilizzato da quella assicurazione. Il che è un miglioramento molto significativo, se si considera che il modello, usato da solo, era solo l'otto per cento migliore rispetto a non usare un sistema predittivo. (https://www.technologyreview.com/s/613432/how-a-google-street-view-image-of-your-house-predicts-your-risk-of-a-car-accident/).
Facebook vuole aggiungere una funzionalità di "secret crush", dove un utente può dire che avrebbe piacere si approfondire l'amicizia con un massimo di 9 persone. Se una di queste fa lo stesso nei suoi confronti allora entrambi vengono avvisati. Non è chiaro che cosa altro farà Facebook con la lista dei nove…
Questi sono esempi di una informazione che, presa da sola, non rappresenta molto. È la correlazione con qualcosa d'altro, anch 'esso innocuo, che può essere molto meno innocente. Ma l'informazione ottenuta "correlando" i dati tecnicamente non appartiene e non è originata dai soggetti a cui si riferisce, che nemmeno sono informati, ma da chi fa la correlazione.
Crediamo quindi che nelle informative e nelle richieste di consenso sul trattamento dei dati, dovrebbe esserci una specifica richiesta per il consenso al confronto o correlazione con altre informazioni ottenute autonomamente dal titolare. E ci guarderemmo bene dal darlo...