• Background Image

    Questioni di privacy

17 Novembre 2016

Questioni di privacy

Il labile confine tra riservatezza ed esposizioneCristina Da Rold
Internet non è un mondo a parteRebecca De Fiore

Il labile confine tra riservatezza ed esposizione

La vulnerabilità dei big data senza regole sulla privacy. La necessità di un cambio di paradigma in una prospettiva di ricerca sociale.

Cristina Da Rold

È innegabile che l’uso dei big data offra potenzialmente opportunità enormi anche per il settore sanitario e che stiano rivoluzionando il nostro modo di essere cittadini e pazienti. Flussi sempre maggiori di dati permettono di definire trend e tendenze, intercettare i bisogni dei cittadini, anticipare eventuali problemi nell’ambito della sanità pubblica, per esempio di carattere epidemiologico, per non parlare dei conseguenti vantaggi in termini di costi. L’aggettivo “big” si applica, infatti, al concetto di informazione in tre direzioni: dal punto di vista del volume di dati che si possono raccogliere (quantità), dell’alta variabilità di queste informazioni (cioè dalla provenienza contemporanea da più fonti) e, infine, dalla velocità con cui i dati possono essere raccolti, condivisi e interpretati.

Tuttavia, big è anche il divario fra le emergenti opportunità che questo paradigma porta con sé e la nostra capacità di far fronte ai problemi che esso ci pone, per primi quelli riguardanti la sicurezza e la privacy del titolare dei dati, che rimane sempre l’individuo. È importante precisare che privacy e sicurezza non sono sinonimi: la sicurezza è essenziale per garantire la privacy. Stiamo vivendo in un mondo a due velocità, dove la “gara” fra le tecnologie pensate per garantire la sicurezza dei sistemi informatici in termini di privacy e l’attività di hacker e truffatori assomiglia a quella fra Achille e la tartaruga. Per non parlare dei problemi strutturali intrinsechi all’utilizzo di sistemi informatici per lo stoccaggio e il trattamento dei nostri dati, per esempio quelli che scegliamo più o meno consapevolmente di condividere attraverso app e device.

Intrusioni pericolose

Gli interessi che ruotano intorno alle informazioni medico-sanitarie sono enormi. Lo studio “Privacy and security in the era of digital health: what should translational researchers know and do about it?” pubblicato nel marzo del 2016 − a firma fra gli altri di Eric Topol (autore nel 2012 del best seller “The creative destruction of Medicine”) − esamina molto bene i due principali problemi posti dall’utilizzo dei big data in sanità dal punto di vista della privacy: l’hacking da un lato e le frodi dall’altro. Nel 2015 l’hacking è stata la prima causa di violazioni negli Stati Uniti e nel 2014 l’healthcare è stato il settore che ha visto il maggior aumento di attacchi, e solo dal 2013 al 2014 l’ambito sanitario ha visto un incremento del 21,7% dei furti di identità. Le conseguenze economiche di tutto questo non sono affatto secondarie, dal momento che nel 2015 il danno economico è stato maggiore del 125% rispetto a cinque anni prima. Sempre più frequenti anche le frodi, come i furti di identità per ottenere prescrizioni di farmaci e i tentativi riusciti di phishing tramite email, per ingannare gli utenti convincendoli a fornire dati personali, password e via dicendo, fingendosi un’organizzazione affidabile. Secondo quanto riportavano Topol e colleghi, quasi un utente su quattro apre questo tipo di email, offrendo di fatto il fianco ai malintenzionati.

Il risultato è che il processo di implementazione di una e-health autenticamente basata sull’uso dei big data è ancora un miraggio e la barriera principale è appunto la sicurezza, la corazza troppo fragile su cui i sistemi sanitari possono fare affidamento per garantire la privacy dei cittadini. Di fatto i problemi aperti dall’utilizzo dei big data sono ben lungi dall’essere risolti, così come siamo lontani dal poter parlare di un’implementazione sicura dei sistemi di e-health. Non è un caso, infatti, che l’ultimo rapporto sull’argomento pubblicato dall’Ufficio europeo dell’Organizzazione mondiale della sanità (Oms) nel 2015 si intitoli “From innovation to implementation. E-health in the Who European Region”: l’innovazione c’è, per l’implementazione vi è ancora parecchio lavoro da fare, e la principale barriera per la messa in pratica di sistemi di e-health è proprio la minaccia dal punto di vista della privacy dei dati. I risultati messi in luce dall’Oms sono netti: sebbene l’80% dei paesi europei possegga una legislazione per la protezione della nostra riservatezza, solo il 13% possiede una strategia per regolare l’uso dei big data in sanità e, ancora meno, il 9%, si è dotato di policy per vigilare sull’uso dei dati sanitari da parte di privati. Inoltre, solo il 26% dei paesi rispondenti al sondaggio afferma di avere attivi sistemi di vigilanza sui sistemi mobile per garantire la sicurezza e la qualità nel trattamento dei dati e un paese su due non ha una legislazione precipua per permettere agli individui l’accesso ai propri dati nel fascicolo sanitario elettronico o una legislazione che consenta al paziente di decidere con chi condividere ogni singola partizione di dati del proprio fascicolo.

Seguendo la classificazione dell’Enisa (Agenzia europea per la sicurezza delle reti e dell’informazione), i principali problemi per la privacy sono:

  1. la perdita di controllo e trasparenza da parte del sistema,
  2. la questione della riusabilità del dato,
  3. i rischi che emergono per la privacy dalla possibilità di incrociare i dati ottenendo nuove informazioni (a chi appartiene a questo punto questa nuova classe di informazioni?),
  4. i rischi legati alle attività di profiling e decision making sulla base dell’analisi dei big data.

 

Attacchi alla sicurezza nelle rete
Come gli hacker attaccano i dati sensibili della ricerca traslazionale.
attacchi-alla-sicurezza-nelle-rete

Flussi di dati fuori controllo

È necessario, tuttavia, fare delle distinzioni fra quelli che sono i problemi di privacy dei sistemi di e-health realizzati dalle strutture sanitarie, come il già citato fascicolo sanitario elettronico, la cartella clinica elettronica, la ricetta elettronica, la tessera sanitaria e via dicendo, e i flussi di dati personali che costantemente i privati cittadini regalano alle diverse compagnie (per la maggior parte private) tramite le app presenti su smartphone e tablet, o durante l’utilizzo di software online e social media. Questo ultimo canale è oggi estremamente vulnerabile, eterogeneo, privo di regole e quindi di un’adeguata vigilanza. In soldoni, sebbene i servizi come il fascicolo sanitario elettronico non possano dirsi immuni da pericoli, come hackeraggi e frodi, essi sono comunque imbrigliati all’interno di una fitta rete di regole – a maglie più o meno strette a seconda del paese – che codificano in maniera chiara diritti e doveri dei titolari del trattamento dei nostri dati sanitari. Vengono fissate, per esempio, delle misure minime per la protezione del titolare dei dati, dei criteri di cifratura, la tracciabilità delle operazioni effettuate e dei criteri per garantire che chi sottoscrive un contratto per la condivisione dei propri dati online lo possa fare in maniera libera, specifica e informata.

Tutto questo non deve essere per legge in alcun modo garantito invece dai produttori privati di app e software, con il risultato che molto spesso l’utente non sa esattamente che cosa sta scaricando sul suo smartphone, e dove e in che modo sono trattati i suoi dati sanitari. Claire Porter sulle pagine de The Guardian, in un articolo intitolato “Little privacy in the age of big data”, pone la questione in questi termini: “Is volunteering our personal data simply the price we pay for free services?” (questa condivisione volontaria dei nostri dati personali è forse semplicemente il prezzo che paghiamo per avere servizi gratuiti?). La questione è estremamente delicata perché ci coinvolge molto più da vicino di quanto pensiamo. La maggior parte delle app che noi tutti scarichiamo quotidianamente non ha dovuto soddisfare alcun criterio di valutazione né sostenere alcun esame che ne provasse l’effettiva validità e, soprattutto, non è soggetta ad alcuna regola che la obblighi a garantire la nostra privacy o a fornire informazioni precise sul prodotto che stiamo acquistando.

Vi è poi il problema geografico, non secondario in termini legislativi: dove e come sono conservati fisicamente i miei dati? Chi può accedervi? E in caso di controversia, dovuta per esempio a un furto, sotto quale giurisdizione ci troviamo? Viviamo inoltre in un profondo paradosso, quello secondo cui è punibile il produttore di una app che dichiara di utilizzare i dati sanitari dei cittadini in un certo modo e poi non lo fa, ma non colui che non dichiara anticipatamente nulla a proposito del possibile utilizzo dei dati che raccoglie.

La logica attuale è la seguente: deve essere cura del cittadino, del paziente, dell’utente informarsi: una volta che accetta di utilizzare una app se ne assume tutta la responsabilità. Alla fine a fare la differenza è il grado di interesse del singolo a informarsi, e non si tratta di un’eccezione ma, a quanto pare, della regola. Un’ottima sintesi su questo è stata recentemente pubblicata dal Department of health and human services americano dal titolo “Examining oversight of the privacy & security of health data collected by entities not regulated by Hipaa”. Secondo gli esperti oggi la maggior parte delle entità che collezionano dati negli Stati Uniti (qui non si fa riferimento solamente alle app) non è regolata dall’Hipaa (Health insurance potability and accountability act), che dal 1996 regolamenta la privacy dei dati e le disposizioni di sicurezza per la tutela delle informazioni sanitarie. E non solo: i cittadini americani sarebbero oggi troppo poco e male informati sulle sorti dei propri dati sensibili che raccolgono tramite le entità che utilizzano, come le app, e non sempre essi hanno facile accesso ai propri stessi dati.

Le politiche sulla privacy dei venditori non possono essere considerate accessibili e trasparenti se le persone non sono in grado di valutarle e interpretarle correttamente. Health insurance portability and accountability act

Sono cinque in particolare le differenze che intercorrono fra un’entità coperta da Hipaa e una che non lo è (in termini tecnici, non covered entity): garantire l’accesso ai propri dati come un diritto; regolamentare il riuso dei dati da parte di terze parti; garantire misure standard di sicurezza; utilizzare una terminologia chiara sulle questioni di privacy all’interno delle informative che gli utenti devono sottoscrivere prima di scaricare il prodotto; e, infine, definire l’uso corretto e quello scorretto dell’informazione dal punto di vista della riservatezza.

Il mondo del mercato privato, senza regolamentazioni ferree in merito alla privacy, ci espone dunque potenzialmente a molte più vulnerabilità rispetto a quello dei sistemi sanitari, ma i due ambiti sono destinati a intersecarsi. Cosa accade per esempio quando sono i medici stessi a utilizzare una app qualsiasi per gestire i nostri dati sanitari?

Un cambio di paradigma

In questo scenario così estremamente caotico, è necessario quindi – chiosa l’Enisa – un cambiamento di paradigma, non più basato sulla dicotomia “big data versus privacy”, bensì sul binomiobig data with privacy”. Slogan a parte, il concetto è quello di integrare le politiche per garantire la sicurezza del trattamento dei dati sanitari a qualsiasi livello nelle modalità in cui pensiamo all’uso dei big data, per uscire finalmente da questo scenario in cui a fare la differenza per un cittadino informato sui destinatari dei dati sanitari che sta per condividere sia solamente il suo grado di interesse su queste questioni e la voglia di leggere le informative punto per punto chiedendo spiegazioni dove qualcosa non è chiaro.

I big data avranno successo se si riusciranno ad avere regole della privacy che aiutino a recuperare la fiducia degli utenti, e se produrranno analisi più efficaci, che migliorino la nostra vita di tutti i giorni, senza invadere la nostra sfera personale. — European Union Agency For Network And Information Security

Il punto è che non è facile decidere come legiferare. Su questo aspetto si è espresso nel maggio 2014 anche l’Ufficio del Presidente degli Stati Uniti per la scienza e la tecnologia, proponendo in un documento dal titolo “Big data and privacy: a technological perspective” alcune raccomandazioni per la creazione di nuovi regolamenti. L’idea è quella di non concepire la lotta per la tutela della privacy come se quella fra Achille e la tartaruga fosse una mera sfida tecnologica: la cartina di tornasole rimangono le effettive applicazioni pratiche di queste tecnologie, il loro uso. Privacy – chiosano gli esperti – non significa solo anonimizzare, né mantenere un segreto. La via indicata dalla Casa Bianca è quindi quella di concentrare la ricerca e i relativi finanziamenti su tecnologie che diano segnali tangibili di aiutare a proteggere la privacy all’interno dei meccanismi sociali che influenzano i comportamenti e la vita privata delle persone. Per questo serve puntare su un’adeguata formazione dei cittadini e assumere la prospettiva di una ricerca sociale. I big data sono anzitutto una scienza sociale.

Le cinque raccomandazioni della Casa Bianca

1.

L’attenzione della politica dovrebbe essere focalizzata più sull’uso dei big data e meno sulla
loro raccolta e analisi.

2.

Le politiche e le regolamentazioni ad ogni livello governativo non dovrebbero includere particolari soluzioni tecnologiche, ma dovrebbero essere formulate in termini di risultati da raggiungere.

3.

Con il coordinamento e il sostegno dell’Offi ce of science and technology policy (Ospt) della Casa Bianca, le agenzie del Networking and information technology research and development program dovrebbero raff orzare la ricerca statunitense nell’ambito delle tecnologie collegate alla privacy e in quelle importanti aree delle scienze sociali che formano/caratterizzano il successo dell’applicazione stessa di queste tecnologie.

4.

L’Ospt della Casa Bianca insieme alle istituzioni dell’istruzione e società professionali idonee dovrebbe incoraggiare le possibilità di formazione e training in ambito di protezione della privacy, inclusi i percorsi di carriera professionale.

5.

Gli Stati Uniti dovrebbero fare da guida sia in campo internazionale sia nazionale adottando
politiche che incentivino l’uso di tecnologie pratiche per la protezione delle privacy già oggi esistenti.

Fonte. Executive Offi ce of the President, President’s Council of Advisors on Science and Technology. Offi ce of the president president’s council of advisors
on science and technology Report to the President “Big data and privacy: a technological perspective executive”. Washington, maggio 2014.

novembre 2016


Internet non è un mondo a parte

Evgeny Morozov e i big data: una trovata pubblicitaria che può trasformarsi in un’opportunità per i cittadini.

Rebecca De Fiore

“La smart technology non sono solo destabilizzanti: possono anche conservare lo status quo. Rivoluzionarie in teoria, sono spesso reazionarie nella prassi[1]” — Evgeny Morozov

Per la decima edizione del festival della rivista settimanale Internazionale, il primo weekend di ottobre si sono riuniti a Ferrara giornalisti, intellettuali e scrittori da tutto il mondo per parlare di attualità e informazione, economia e letteratura, ma anche di fumetti e fotografia. Tra loro Evgeny Morozov, sociologo e giornalista bielorusso, oggi uno degli intellettuali di riferimento in merito al dibattito sugli effetti politici e sociali dello sviluppo della tecnologia. Morozov è noto per le sue posizioni critiche e in controtendenza rispetto al comune ottimismo sulle potenzialità democratizzanti di internet.

Secondo Morozov uno dei temi centrali del nostro tempo è la regolamentazione dello spazio cibernetico. Per poter comprendere meglio la questione bisogna tornare indietro agli anni Ottanta, stagione in cui è emersa l’idea che vedeva il cyberspazio come un luogo distinto dal mondo reale e quindi regolato dal cosiddetto diritto cibernetico. Oggi molte aziende della Silicon Valley hanno pensato di sfruttare a loro vantaggio la diversa legislazione. Esempio calzante è quello di Airbnb che, non appena si è tentato di regolamentarne la attività online con le leggi nazionali, è ricorsa in giudizio sostenendo di essere vittima di censura. Unica soluzione, a parere di Morozov, è smettere di attenersi alla visione ingenua di internet come mondo diverso.

airbnbAirbnb è un portale online che mette in relazione chi cerca un alloggio (un appartamento o una camera) per brevi periodi e chi dispone di uno spazio da affittare. Generalmente, si tratta – da una parte – di persone che viaggiano per turismo e – dall’altra – di privati che, avendone la possibilità, mettono a frutto uno spazio di cui dispongono. I ricavi sono denunciati nella dichiarazione dei redditi e sottoposti a tassazione forfettaria. Il sito fu aperto nell’ottobre del 2007 da Brian Chesky, Joe Gebbia e Nathan Blecharczyk. È presente in quasi 200 nazioni e in 34 mila città.

Nei grandi dibattiti sulla rete e l’innovazione ci si è sempre limitati a parlare del digitale per il digitale, senza considerare invece le conseguenze che questo ha avuto su politica, economia e società. Ed è proprio questo l’errore secondo Morozov: il cyberspazio non può essere considerato un mondo separato perché internet è al centro del contemporaneo economico e sociale in cui ci troviamo. La Silicon Valley non è così diversa da Wall Street e le grandi piattaforme digitali come Amazon, Google e Facebook, spinte dagli stessi istinti predatori della finanza, si stanno appropriando dello spazio pubblico monopolizzando i dati personali. Come scrive Morozov nella sua raccolta di saggi “Silicon Valley: i signori del silicio” [2], “le aziende della Silicon Valley stanno piazzando un filo spinato invisibile intorno alle nostre vite. Sulla carta ci promettono più libertà, apertura e mobilità, ci dicono che possiamo andare dove vogliamo quando vogliamo, ma in realtà si tratta di una libertà fasulla, come quella di chi deve portare il braccialetto elettronico”.

Queste società, infatti, offrono ai cittadini un sistema solo apparentemente conveniente perché in cambio di servizi sempre più a basso costo, o addirittura gratuiti, ricevono la titolarità dei dati collettivi. Ormai è stato costruito un mercato di dati su cui le aziende hanno fondato il loro business, ma le nostre numerose informazioni personali non dovrebbero esistere come un qualcosa che può essere venduto. E i cittadini continuano a essere indeboliti dai trattati commerciali transnazionali che stanno limitando i loro diritti e aumentando quelli delle aziende. Ci troviamo così nel bel mezzo di un paradosso: il diritto alla privacy sta diventando il servizio al diritto alla privacy, se lo si desidera lo si deve comprare.

Secondo Morozov, è come se la Silicon Valley avesse due mani: la sinistra buona che ci offre i servizi gratuitamente e la destra cattiva che cattura e rivende i nostri dati. I cosiddetti big data sono infatti così importanti che l’industria tecnologica riesce a controllare persino la nostra immaginazione e il nostro futuro attraverso la costruzione di storie, facendo diventare la Silicon Valley la più grande storyteller del mondo occidentale.

E i mercati ormai possono raggiungerci nelle nostre case facendoci offerte che non possiamo rifiutare. “La rapida ascesa della sharing economy – sostiene Morozov –  può essere letta anche in questa chiave: il capitalismo dispone ora di nuove tecnologie capaci di convertire ogni merce che sia stata comprata, e quindi rimossa dal mercato diventando un capitale inerte poco utile, in oggetti affittabili che non abbandonano mai il mercato”. Che la sharing economy stia rendendo le conseguenze dell’attuale crisi economica più sopportabili è innegabile, ma “il fatto è che nell’affrontarne le conseguenze non fa nulla per rimuoverne le cause. È come distribuire tappi per le orecchie contro i fastidiosi rumori stradali, invece di fare qualcosa per ridurli”.

evgeny-morozov

Come si addice a Silicon Valley, i big data sono per lo più una grande campagna pubblicitaria, ma c’è una possibilità: che un giorno possano portare profitti a milioni di persone che attualmente non hanno accesso ad essi. — Evgeny Morozov

Per fare in modo che il costo di un sistema alternativo alla Silicon Valley non ricada sul cittadino consumatore, che si troverebbe a dovere pagare di più un servizio offerto da aziende tradizionali, Morozov sostiene la necessità di un’alternativa di tipo governativo a Uber e Airbnb, i giganti della sharing economy. Si deve quindi guardare alle istituzioni pubbliche per raccogliere e gestire i dati che ora sono nelle mani delle aziende della Silicon Valley: “È importante che i big data rimangano nelle mani dei cittadini. Ma anche l’Europa non dovrebbe pensare a un’autorità che sia alternativa a Google, ma realizzare invece una piattaforma pubblica che si articoli in infrastrutture più o meno piccole a disposizione della comunità”. Inoltre, per Morozov è questo l’unico modo affinché l’Europa non rimanga sottomessa alla regola americana.

L’intervento pubblico, conclude Morozov, è tanto più urgente poiché le società digitali si stanno muovendo molto più di quanto pensiamo, per avere sempre più potere. “Ormai Google, operando spesso a Bruxelles, influenza la politica e si sta facendo strada perfino nel settore dell’energetica.  Dunque, bisogna trovare un’alternativa. O vogliamo davvero che in futuro sia tutto gestito da Airbnb, Facebook e Google?”
Bibliografia

[1] Morozov E. Imprisoned by innovation. The New York Times 2013; 23 marzo.
[2] Morozov E. Silicon Valley: i signori del silicio. Torino: Codice Edizioni, 2016.

Conseguenze politiche e morali del consumismo informativo

Deve esserci ben chiaro che stiamo andando incontro a un’apocalisse informativa, in un mondo in cui i dati personali sono oggetto di scambio come se fossero caffè o una qualsiasi altra merce. Si prenda l’argomento tanto in voga dei vantaggi derivanti dalla cessione dei propri dati in cambio di benefici commerciali tangibili. Mettiamo che decidiate di installare un sensore sulla vostra automobile per provare all’assicurazione che guidate in modo molto più sicuro dell’automobilista medio secondo il suo modello dei prezzi per le polizze. Benissimo: se siete sopra la media, pagherete meno. Il problema con i valori medi, tuttavia, è che metà della popolazione è sempre al di sotto del valore di riferimento; e inevitabilmente — al di là del fatto che ci vogliano monitorare o no — quella metà sarà costretta a pagare di più: se chi ha più successo accetta l’auto-tracciamento, allora la maggior parte delle istituzioni sociali finirà per concludere (in modo del tutto logico) che chi invece lo rifiuta abbia qualcosa da nascondere.

Secondo questo modello, le implicazioni della cessione dei miei dati personali non riguardano più soltanto il mercato e l’economia, ma si estendono anche all’ambito etico. Se la mia scelta di vendere i miei dati personali fa stare peggio qualcun altro, privandolo di alcune opportunità, allora ho un fattore etico extra da prendere in considerazione: l’economia da sola non basta. Tutto questo per dire che il consumismo informativo ha profonde conseguenze politiche e morali, comparabili al consumismo energetico per estensione e importanza. Intellettuali e partiti politici dovrebbero impegnarsi per mostrare la reale portata di queste conseguenze. Dovremmo fare del nostro meglio per contrastare l’apparente normalità economica della condivisione di informazioni. Un atteggiamento del tipo “è solo business!” non basta più.

apple-campus

La condivisione di informazioni darà anche vita a un mercato vivace, ma manca di una cornice etica a supporto. Più di trent’anni fa, Michel Foucault è riuscito a prevedere che il neoliberismo ci avrebbe trasformati in “imprenditori di noi stessi”, ma non dimentichiamo che l’imprenditoria non è priva di lati negativi: come la maggior parte delle attività economiche, può generare esternalità negative, dall’inquinamento al rumore. L’imprenditoria basata sulla condivisione di informazioni non fa eccezione.

Evgeny Morozov
Da: I signori del silicio. Codice Edizioni.

novembre 2016

0 Comments

Leave A Comment

Lascia un commento

Il progetto Forward è realizzato con il supporto di
  • ISCRIVITI ALLA NEWSLETTER DI FORWARD

    Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

    Informativa sul trattamento dei dati.

  • Pin It on Pinterest

    Share This