Data Brokers (2) – Profilazione&Intelligence

Data Brokers (2) – Profilazione&Intelligence

Profilazione predittiva. È così che si chiama, in gergo tecnico, la campagna pubblicitaria “premaman” realizzata da Target. Un’attività che, attraverso la raccolta e l’analisi dei nostri dati e metadati, tenta di predire quali saranno i nostri comportamenti futuri come utenti, consumatori e cittadini.

In ambito commerciale questo procedimento – basato sul data mining, che con la sempre più ampia quantità di dati disponibili sta diventando un procedimento automatizzato attraverso l’impiego di algoritmi – fa parte della cosiddetta business intelligence, che si occupa tra le altre cose della raccolta e analisi di informazioni a scopi commerciali. Profilazione predittiva e data mining vengono ampiamente usati anche nell’intelligence non-commerciale. Attraverso programmi come “Mainway, ad esempio, la National Security Agency statunitense è in grado di individuare le preferenze politiche e religiose dei cittadini americani o le loro frequentazioni al fine di individuare potenziali attività di terrorismo in fase di progettazione, nonostante vari esperti evidenzino come proprio in merito alla repressione del terrorismo – e dunque al frame della sorveglianza per la sicurezza nazionale – la predizione evidenzi i risultati peggiori. Lo statunitense Bruce Schneier, tra i massimi esperti mondiali di crittografia e cybersicurezza, ha più volte posto l’accento sul fatto che la tecnologia per la cybersorveglianza online è resa inutile, a questo scopo, dai falsi positivi.

Con l’aiuto della rivista tedesca Zeit e di OpenData City, Malte Spitz – esponente del partito tedesco dei Verdi ed attivista per la privacy ed i diritti digitali – ha voluto verificare la pericolosità della cybersorveglianza attraverso i metadati dopo aver citato in giudizio la Deutsche Telekom, accusata di aver registrato i metadati del suo cellulare per sei mesi. Dopo una serie di dinieghi, la DT – all’epoca la principale società telefonica tedesca – ha inviato a Spitz un cd contenente i dati grezzi relativi all’opera di sorveglianza. Il materiale è stato girato al settimanale il quale, incrociando le informazioni contenute nel cd con altri dati digitali (tweet, post geolocalizzati, login sui siti web) è riuscito a ricostruire nel dettaglio quello che il politico aveva fatto in quei sei mesi. «A Natale» – si legge in un articolo di Wired del 2013

Spitz ha ricevuto due chiamate e ne ha fatte quattro, per un totale di 24 minuti e 54 secondi. Ha ricevuto 3 sms e ne ha inviato uno. Sappiamo anche dov’era, grazie alle celle alle quali si è agganciato il suo cellulare(…)È stato connesso a internet per 19 ore e 41 secondi

La conservazione dei dati fatta dalla Deutsche Telekom – nota anche come data retentionnon è un’attività illegale come la cybersorveglianza fatta dall’NSA. Attraverso la “Direttiva sulla conservazione dei dati” del 15 marzo 2006 la Commissione Europea ha definito un limite compreso tra i sei mesi e i due anni per il periodo in cui compagnie telefoniche e Internet Service Providers degli Stati membri sono obbligati a conservare i dati internet e telefonici dei propri clienti.
La controversia si è conclusa con un accordo: lui non avrebbe citato in giudizio la DT se questa gli avesse fornito tutte le informazioni che lo riguardavano.

Se quanto capitato a Spitz lo trasliamo su attivisti, giornalisti e politici dell’opposizione in regimi non democratici – ma il principio all’autodeterminazione informativa travalica l’autoritarismo dei regimi riguardando le libertà personali di tutti – si capisce ancor meglio quanto pericolosi possano essere questi dati se gestiti dalle persone sbagliate.

Anche Maximilian Schrems, nel 2011, aveva chiesto che gli venissero forniti tutti i dati che lo riguardavano a Facebook, esercitando un diritto concesso dalla normativa europea sulla privacy che lui, studente di legge, ben conosceva. Dopo alcuni dinieghi, Schrems si è visto recapitare a casa 1.200 fogli in formato A4 contenenti gli ultimi tre anni della sua vita sul social network di Mark Zuckerberg, che però sostiene di conservare i dati solo per 90 giorni. Inoltre, nella pesante mole di materiale consegnatogli, secondo Schrems comparivano anche dati che aveva cancellato, in chiara violazione della stessa normativa.
Così, sfruttando il fatto che la sede europea di Facebook è in Irlanda – Paese a regime fiscale favorevole – il giovane cita la società davanti al Data Protection Commissioner europeo (causa C-362-14), che ammonisce Facebook ad adeguarsi alla normativa europea sulla cancellazione dei dati. La vicenda ha dato inoltre origine ad una delle più grandi class action europee nonché ad un gruppo di pressione di cittadini – “Europe vs Facebook – al quale si deve ad esempio la mancata introduzione del riconoscimento facciale sulla versione europea del social network, ennesima (ed evidente) violazione della privacy resa invece legale negli Stati Uniti, dove gli standard su privacy e diritti digitali sono inferiori rispetto all’Europa.

Per colmare – soprattutto a livello economico – questo disequilibrio, permettendo alle società statunitensi di fare affari nel Vecchio Continente, nel 2000 viene creato il “Safe Harbor”, che permette alle società statunitensi di autocertificare (seppur sotto il controllo annuale della Federal Trade Commission) che il trattamento dei dati dei cittadini europei avvenga seguendo i più alti stardard previsti da questa parte dell’Atlantico e non secondo la normativa statunitense. L’accordo ha aperto il mercato dei dati personali alle società statunitensi senza che ai cittadini europei sia stato reso noto il trasferimento dei propri dati in ambito “Prism” – a cui peraltro molte delle grandi società statunitensi hanno partecipato – anche se la direttiva UE 46/95 sulla protezione dei dati personali (.pdf) vieta espressamente che a trattare i dati dei cittadini europei siano società sottoposte a legislazioni a tutela inferiore.
Durante la prima udienza del processo “Schrems vs Facebook”, tenutasi il 24 marzo scorso, ha fatto scalpore la dichiarazione dell’avvocato della Commissione Europea Bernhard Schima che, ammettendo come allo stato attuale le leggi dell’Unione non garantiscano il rispetto degli standard europei da parte degli Stati Uniti, ha consigliato ai cittadini europei di chiudere i propri account Facebook per non essere spiati.

Il Safe Harbor dimezzato
La Corte di Giustizia dell’Unione Europea, pronunciandosi la scorsa settimana proprio sul caso “Schrems vs Facebook” (.pdf), ha ribadito come gli Stati Uniti non garantiscano adeguati standard per la tutela dei dati dei cittadini europei, lasciando ai singoli Stati membri la possibilità di sospendere o meno il loro trasferimento verso i data center statunitensi. Una decisione che ha portato ad invalidare il Safe Harbor e alla necessità di stabilire nuovi accordi tra gli Stati Uniti e i singoli Stati membri europei. Per le società private statunitensi, in attesa delle decisioni di natura politica, si aprono varie ipotesi, tra le quali l’adeguamento ai singoli standard nazionali e lo spostamento dei data center – i centri attraverso cui vengono gestiti i dati trasferiti negli Stati Uniti – in territorio europeo. Un’operazione di cui non sono però chiari né i costi né la reale fattibilità.

Bruxelles ha comunque evidenziato la necessità di non bloccare il flusso di dati tra le due sponde dell’Atlantico, chiedendo ai singoli Stati membri di continuare ad operare in un quadro comune e garantendo nelle prossime settimane la definizione di un «quadro normativo più chiaro e con salvaguardie idonee». Un corpus normativo che dovrà tener conto delle tre priorità evidenziate dal vicepresidente della Commissione Europea Frans Timmermans: protezione dei dati personali trasferiti oltreoceano, continuazione dei flussi transatlantici – che ha ampie ripercussioni sull’economia dei due continenti – e applicazione uniforme della legislazione europea nel mercato interno.

Dato il contesto – sono oltre 5.000 le società hi-tech registrate nella “U.S.-EU Safe Harbor List” presso il Dipartimento del Commercio statunitense su cui la decisione avrà impatto – si preannuncia una lunga serie di ricorsi legali.
Non si è fatta attendere la reazione delle grandi compagnie del web, che attraverso la Computer&Communication Industry Association (Ccia) – l’associazione di advocacy del settore hi-tech – hanno evidenziato come una regolazione troppo complicata potrebbe trasformarsi in un boomerang per l’Europa. Insomma: il safe Harbor esce (formalmente) di scena, i gruppi di pressione entrano.

[5 – Continua]
[4 – Data Brokers (1) – il mercato dei Big Data]
[3 – Autarchia digitale, dal Great Firewall cinese all’halal internet ]
[2 – Datagate, il ruolo poco noto dell’Italia]
[1 – I padroni dei dati online]

  1. Pingback: Omicidio stradale: punire o prevedere (via algoritmo)? | Il Dettaglio

  2. Pingback: Search Engine Manipulation Effect: i brogli elettorali dell’algoritmo | Il Dettaglio - Il blog di Andrea Intonti

  3. Pingback: Algocrazia: il potere politico degli algoritmi | Il Dettaglio - Il blog di Andrea Intonti

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: